16/03/2017

Vault 7, un (otro) agujero demasiado grande

¿Debería el público acostumbrarse a noticias de esta naturaleza? ¿Anestesiarse? La última filtración de WikiLeaks,  Vault 7, ha revelado una exposición sistemática de algunos productos tecnológicos populares, pero ha sido pronto digerida como un asunto trivial y repetido . A un lado del ciberespionaje está la CIA – que fin de cuentas hace su trabajo, ¿no? – y al otro están los Google, Apple, Microsoft, Samsung y otras empresas cuya seguridad ha sido burlada. En medio, impotentes, los usuarios. No muchos, dicen: esta vez el ataque no ha sido masivo como el de la NSA, sino dirigido contra personas que la CIA consideraba merecedoras de ser controladas. Muchas reacciones han sido así de cínicas.

Julian Assange

Aun así, lo revelado por los compinches de Julian Assange – y más que se prometen – indica un número de vulnerabilidades tan alto que se hace difícil pensar que esas compañías no sospecharan algo. Los documentos de Vault 7 [el nombre sugiere la existencia de una caja fuerte] indican que la CIA dispone de todo un arsenal de ciberarmas, algunas basadas en vulnerabilidades de «día cero», para penetrar en dispositivos Android, IoS o MacOS, así como en ordenadores bajo Windows. Hasta las Smart TV de la marca Samsung aparecen como objetivos de un malware diseñado por la agencia, en una muestra más de lo polisémica que puede ser la palabra inteligencia.

Con algunos gestos de la industria, como el cifrado de extremo a extremo en las aplicaciones de mensajería, y declaraciones bientencionadas de las autoridades, la aspereza de un conflicto se ha limando en poco tiempo. La administración Obama se quejaba de que la ola de cifrado que sobrevino al caso Snowden le dificultaba la tarea de investigar a presuntos delincuentes y terroristas. La nueva administración Trump choca con los servicios de inteligencia por razones poco comprensibles, y casualmente Assange y WikiLeaks le sirven en bandeja un pretexto para presentarse ante la opinión pública como víctima. Inaudito.

La primera lección del episodio es que cualquier objeto conectado puede ser una puerta de entrada para el espionaje. Vamos, que tanto énfasis se había puesto en el riesgo de robo de datos personales y en las batallas subterráneas entre potencias, que nadie había reparado en que el adversario estaba en casa. Hoy para proteger al ciudadano, a saber mañana…

Las denuncias de Edward Snowden asestaron un duro golpe a la relación de confianza entre usuarios y empresas de tecnología. Luego, la postura de Apple en el caso de San Bernardino, negándose a colaborar en el desbloqueo del móvil del autor de una matanza, resultó vana, porque el FBI lo consiguió por sus propios medios. La filtración de WikiLeaks llueve sobre mojado, pero desvela unas prácticas generalizadas.

La CIA no ha desmentido la existencia de una unidad ortodoxamente llamada Mobile Devices Branch, que recopiló 14 fallos de seguridad en el sistema operativo IoS. Apple se apresuró a aclarar que varios de esos  fallos estaban solucionados en la última versión, y que sus especialistas se ocupan de solucionar el resto. Tampoco es como para sentirse tranquilos: la lista de vulnerabilidades es antigua, o al menos todo lo antigua que puede ser tratándose de malware obtenido entre 2013 y 2016, y parece deducirse que varias están activas. Los espías también se colaron en MacOS X : aunque – un punto para Apple – era más difícil que penetrar en Windows, la agencia supo cómo ocultar su software al sistema operativo, crear programas zombis e incluso llegar hasta el kernel, supuestamente muy seguro.

Sobre Android, en la lista aparecen dos docenas de vulnerabilidades. Algunos ataques que se cuelan a través de Chrome sólo funcionan en las versiones antiguas del navegador; otros fallos se han corregido en nuevas releases del sistema operativo de Google. Una vez más, la fragmentación de la plataforma es propicia para que las actualizaciones lleguen tarde a la mayoría de los usuarios. Hay exploits dirigidos con la GPU Adreno, de Qualcomm así como otros que sólo funcionan con ciertos smartphones de Samsung.

Para Windows, hay keyloggers – registran lo que teclea el usuario – cuyo rol es eludir los antivirus y agujeros de seguridad en el panel de control. La CIA podía enviar datos al disco duro del ordenador afectado sin que su intrusión fuera detectada y, asimismo, conocía técnicas para infectar dispositivos USB y DVD, una manera de registrar toda la información que llegaba al PC. Al parecer, los archivos DLL eran un vector de ataque muy usado por los espías para camuflar malware dentro de aplicaciones.

Toda esta ristra de vulnerabilidades, capaces de grabar sonidos, imágenes y mensajes privados de los usuarios, inevitablemente llevan a pensar en las empresas cuyos productos eran así comprometidos. Sea por sospechas de colaboración o por la sensación de incapacidad para proteger a sus clientes, el poso que deja la existencia de Vault 7 es nocivo para estas compañías, que basan su negocio en que millones de personas confíen en ellas.

Un caso extraordinario es el de los televisores Samsung, que permitían la grabación de sonidos con un falso modo en off que habilitaba micrófonos sin que el usuario lo advirtiera. También podían monitorizar la navegación web. En descargo de la empresa, era necesario que el malware penetrara vía USB, sin forma física de inocularlo sin acceso físico a Smart TV. Con razón se ha hecho hincapié en este dispositivo cotidiana es un aviso de la inseguridad en el Internet de las Cosas. Los documentos desvelados  por WikiLeaks identifican reuniones de 2014 en las que se contempló la eventualidad de infectar vehículos conectados, un signo de amenaza presciente.

En lo que respecta a las aplicaciones de mensajería, el cifrado de extremo a extremo de WhatsApp ha resistido los ataques. De poco sirve, porque si la CIA penetraba directamente en los dispositivos, los mensajes quedaban a la luz. Sin haber sido aludida en la documentación de Vault 7, Facebook se cura en salud: quiere que se sepa que no colabora con el ciberespionaje en ningún país. Una recientísima actualización de sus reglas para desarrolladores especifica que los datos personales de los usuarios no podrán ser manipulados para convertirlos en herramientas de vigilancia. Al menos, define un principio.

Tratando de no escandalizarse ni hacer ruido, por la cuenta que les tiene, Apple, Google y Microsoft procuran discernir el alcance de los agujeros de seguridad que les afectan. La relación entre estas empresas y el gobierno estadounidense ha vuelto a resquebrajarse. Tras las revelaciones de Edward Snowden, el gobierno de Obama se acercó a estas compañías para restablecer los puentes rotos, y la Casa Blanca llegó a proponer que les facilitaría información acerca de agujeros de seguridad para que estuvieran en condiciones de resolverlos por sí mismas. La relación se tensó con el caso San Bernardino, ahora relegado a las hemerotecas; pero  Vault 7 es un nuevo varapalo. No engañarse: los dos polos volverán a atraerse porque en realidad se necesitan.

 

 

 


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons